TechFlowより、4月2日、VentureBeatの報道によると、攻撃者はJavaScriptで最も人気のあるHTTPクライアントライブラリ「Axios」のチーフメンテナーのnpmアクセストークンを窃取し、そのトークンを用いて、macOS、Windows、Linuxの各プラットフォームに対応したクロスプラットフォーム型リモートアクセストロイアン(RAT)を含む2つの悪意あるバージョン(axios@1.14.1およびaxios@0.30.4)を公開しました。これらの悪意あるパッケージは、npmレジストリ上に約3時間掲載された後、削除されました。
セキュリティ企業Wizのデータによると、Axiosは週間ダウンロード数が1億回を超え、クラウドおよびコード環境の約80%に存在しています。セキュリティ企業Huntressは、悪意あるパッケージの公開から89秒後に初回の感染を検知し、公開期間中に少なくとも135台のシステムが侵害されたことを確認しました。
注目に値するのは、Axiosプロジェクトが事前にOIDC信頼された公開メカニズムおよびSLSA由来証明といった現代的なセキュリティ対策を導入済みであったにもかかわらず、攻撃者がこれらすべての防御策を完全に回避できた点です。調査の結果、プロジェクトはOIDCの設定を実施していた一方で、従来型の長期有効なNPM_TOKENも併存させていたことが判明しました。npmは両方のトークンが存在する場合、デフォルトで従来型のトークンを優先して使用するため、攻撃者はOIDCを突破することなくパッケージの公開を実行できたのです。
お気に入りに追加
SNSで共有
